Procesos Operativos Críticos de Seguridad de Información en un Security Operation Center (SOC) Edición Única

Texto completo

(1)INSTITUTO TECNOLÓGICO Y DE ESTUDIOS SUPERIORES DE MONTERREY CAMPUS MONTERREY. PROGRAMA DE GRADUADOS EN TECNOLOGÍAS DE INFORMACIÓN Y ELECTRÓNICA. PROCESOS OPERATIVOS CRITICOS DE SEGURIDAD DE INFORMACIÓN EN UN SECURITY OPERATION CENTER (SOC). TESIS PRESENTADA COMO REQUISITO PARCIAL PARA OBTENER EL GRADO ACADEMICO DE: MAESTRO EN ADMINISTRACIÓN DE TECNOLOGÍAS DE INFORMACIÓN. POR: LUIS ANTONIO AQUINO MORALES. MONTERREY, N.L.. MARZO 2007.

(2) INSTITUTO TECNOLÓGICO DE ESTUDIOS SUPERIORES DE MONTERREY DIVISIÓN DE TECNOLOGÍAS DE INFORMACIÓN Y ELECTRÓNICA PROGRAMA DE GRA DUADOS EN TECNOLOGÍAS DE INFORMACIÓN Y ELECTRÓNICA Los miembros del comité de tesis, recomendamos que esta tesis presentada por el Ing. Luis Antonio Aquino Morales sea aceptada como requisito parcial para obtener el grado académico de Maestro en Administración de Tecnologías de Información. Comité de tesis:. Ing. Ricardo Morales González, MCSI Asesor. Dr. David Ángel Alanís Dávila Sinodal. Dr. Macedonio Alanís González Sinodal. Dr. Graciano Dieck Assad Director del Programa de Graduados en Electrónica, Computación, Información y Comunicaciones Marzo del 2007.

(3) PROCESOS OPERATIVOS CRITICOS DE SEGURIDAD DE INFORMACION EN UN SECURITY OPERATION CENTER (SOC). POR LUIS ANTONIO AQUINO MORALES. TESIS. Presentada a la División de Graduados en Electrónica, Computación Información y Comunicaciones. Este trabajo es requisito parcial para obtener el grado de Maestro en Administración de Tecnologías de Información. INSTITUTO TECNOLÓGICO Y DE ESTUDIOS SUPERIORES DE MONTERREY CAMPUS MONTERREY. Marzo del 2007.

(4) Dedicatoria. A mi familia que a lo largo de toda mi vida me ha brindado su apoyo incondicional en todas las etapas de mi formación, me ha guiado por el camino del bien y me ha entregado todo su amor.. A mis compañeros de las maestrías MTI y MTL con los que compartí muchos momentos agradables a lo largo de mis estudios y que juntos nos apoyamos para sacar a delante los proyectos y trabajos que se nos encomendaban.. A mis amigos con los que siempre encontré apoyo en cualquier circunstancia y que me permitieron compartir momentos de diversión muy gratos que facilitaron el estar lejos de mi familia y olvidar los problemas.. iv.

(5) Agradecimientos Doy gracias a Dios por haberme dado la inteligencia y fortaleza para continuar superándome profesionalmente.. A mi asesor de Tesis el Ing. Ricardo Morales González por haberme dado la oportunidad de trabajar en un tema tan interesante y por todo el apoyo brindado a lo largo de la investigación.. A mis sinodales, el Dr. David Ángel Alanís Dávila y el Dr. Macedonio Alanís González, por haberme ayudado a estructurar adecuadamente mi trabajo de tesis y asesorarme en los momentos que solicite su ayuda.. ¡ MUCHAS GRACIAS!. v.

(6) Resumen La Seguridad de Información es un tema que claramente denota una gran relevancia hoy en día en diversos sectores de la sociedad. La seguridad de la información se ha convertido en un factor crítico para todas las organizaciones que deseen operar bajo esquemas de protección bien regulados que les permitan mantener una integridad de la información que manejan, así como de realizar operaciones y transacciones de manera segura. Los Procesos Operativos de seguridad de Información son clave para estructurar esquemas de seguridad bien fundamentados y regulados que permitan guiar las operaciones de seguridad en una organización, sin importar el tamaño de la misma. La formulación de estos procesos debe ser minuciosa y probada para asegurar que las normas y políticas que se establezcan respondan a las necesidades específicas de las organizaciones La posibilidad de tener diversos estándares (mejores practicas) bien fundamentados y reconocidos en el ámbito de la seguridad nos proporciona un alto valor al momento de querer implementar prácticas de seguridad. La posibilidad de extraer información probada sobre las mejores prácticas en esta área, nos da las herramientas esenciales para construir esquemas de seguridad eficaces apoyados en la experiencia que estos estándares pueden tener. . El modelo propuesto en esta investigación presenta los principales procesos operativos que deben existir en la operación de un Centro de Operaciones de Seguridad (SOC). Esta propuesta esta fundamentada en estándares de seguridad reconocidos, gracias a los cuales fue posible desarrollar un marco de referencia real y confiable. Dichos procesos operativos son considerados como necesarios para lograr una entrega de servicio de seguridad eficiente. La ausencia de alguno de ellos es considerada por parte de los expertos como una situación riesgosa para un SOC.. vi.

(7) ÍNDICE DEDICATORIA .............................................................................................................................................IV AGRADECIMIENTOS................................................................................................................................... V RESUMEN ......................................................................................................................................................VI ÍNDICE.......................................................................................................................................................... VII CAPITULO 1. INTRODUCCIÓN .................................................................................................................. 1 1.1 DESCRIPCIÓN GENERAL .......................................................................................................................... 1 1.2 DESCRIPCIÓN DEL PROBLEMA ................................................................................................................. 6 1.2.1 Procesos operativos de Seguridad.............................................................................................. 6 1.2.2 Necesidad de los Procesos Operativos ...................................................................................... 7 1.2.3 Security Operation Center (SOC) ................................................................................................ 7 1.2.4 Costos Operativos de Seguridad ................................................................................................. 8 1.3 OBJETIVO. .............................................................................................................................................. 11 1.4 METODOLOGÍA DE INVESTIGACIÓN ........................................................................................................ 12 1.4.1 Etapas de la investigación .......................................................................................................... 12 1.4.2 Descripción del esquema de investigación .............................................................................. 14 1.5 ORGANIZACIÓN DE LA TESIS................................................................................................................... 18 CAPITULO 2. MARCO TEÓRICO ............................................................................................................. 19 2.1 SEGURIDAD DE INFORMACIÓN ............................................................................................................... 19 2.2 PROCESOS OPERATIVOS DE SEGURIDAD DE INFORMACIÓN................................................................. 21 2.2.1 Clasificación de Procesos........................................................................................................... 25 2.3 SECURITY OPERATION CENTER ............................................................................................................ 26 2.3.1 Arquitectura global de un Security Operation Center (SOC)................................................. 30 2.4 ADMINISTRACIÓN DE TI .......................................................................................................................... 31 2.5 MEJORES PRÁCTICAS ............................................................................................................................ 33 2.5.1 Beneficios de las Mejores Prácticas.......................................................................................... 35 2.6 ESTÁNDARES DE SEGURIDAD ................................................................................................................ 36 2.6.1 COBIT ............................................................................................................................................ 37 2.6.2 ISO/IEC.......................................................................................................................................... 39 2.6.3 ITIL ................................................................................................................................................. 41 CAPITULO 3. PROPUESTA DE PROCESOS OPERATIVOS CRÍTICOS DE SEGURIDAD DE INFORMACIÓN PARA UN SOC ................................................................................................................ 44 3.3 MARCOS DE REFERENCIA....................................................................................................................... 46 3.3.1 COBIT 4.0...................................................................................................................................... 46 3.3.2 ISO/IEC 17799.............................................................................................................................. 48 3.3.3 ITIL “SECURITY MANAGEMENT” ..................................................................................................... 50 3.1- MODELO PROPUESTO DE PROCESOS OPERATIVOS CRÍTICOS DE SEGURIDAD DE INFORMACIÓN EN UN SOC ........................................................................................................................................................ 53 3.1.1- Descripción general del Modelo: .............................................................................................. 54 3.2- MAPEO DE LOS PROCESOS OPERATIVOS BASE DE OPERACIÓN EN RELACIÓN A LAS BEST PRACTICE (ITIL, ISO & COBIT) ................................................................................................................................... 56 3.4- IMPORTANCIA Y RELACIÓN DE LOS PROCESOS BASE DEL SOC ......................................................... 57 3.5- CICLO DE OPERACIÓN DEL MODELO PROPUESTO ............................................................................... 61 3.5.1- Secuencia de operación de los procesos operativos críticos .............................................. 62 CAPITULO 4. NORMATIVIDAD BÁSICA DE LOS PROCESOS OPERATIVOS CRÍTICOS DEL SOC .................................................................................................................................................................. 64. vii.

(8) 4.1 ADMINISTRADOR DE INCIDENTES Y CENTRO DE SERVICIO ................................................................... 66 4.1.1 Objetivo.......................................................................................................................................... 66 4.1.2 Centro de Servicio........................................................................................................................ 66 4.1.3 Administrador de Incidentes ....................................................................................................... 67 4.1.4 Posicionamiento y Relación........................................................................................................ 68 4.1.5 Ejemplos de Incidentes ............................................................................................................... 68 4.1.6 Normatividad Básica.................................................................................................................... 69 4.1.7 Métricas de desempeño .............................................................................................................. 69 4.2 ADMINISTRADOR DE PROBLEMAS .......................................................................................................... 70 4.2.1 Objetivo.......................................................................................................................................... 70 4.2.2 Descripción.................................................................................................................................... 70 4.2.3 Posicionamiento y Relación........................................................................................................ 71 4.2.4 Ejemplos de Problemas .............................................................................................................. 71 4.2.5 Normatividad Básica.................................................................................................................... 71 4.2.6 Métricas de desempeño .............................................................................................................. 72 4.3 ADMINISTRADOR DE CAMBIOS ................................................................................................................ 73 4.3.1 Objetivo.......................................................................................................................................... 73 4.3.2 Descripción.................................................................................................................................... 73 4.3.3 Posicionamiento y Relación........................................................................................................ 74 4.3.4 Normatividad Básica.................................................................................................................... 74 4.3.5 Métricas de desempeño .............................................................................................................. 75 4.4 ADMINISTRADOR DE CONFIGURACIONES ............................................................................................... 76 4.4.1 Objetivo.......................................................................................................................................... 76 4.4.2 Descripción.................................................................................................................................... 76 4.4.3 Posicionamiento y Relación........................................................................................................ 77 4.4.4 Normatividad Básica.................................................................................................................... 77 4.4.5 Métricas de desempeño .............................................................................................................. 78 4.5 ADMINISTRADOR DE CAPACIDADES ........................................................................................................ 79 4.5.1 Objetivo.......................................................................................................................................... 79 4.5.2 Descripción.................................................................................................................................... 79 4.5.3 Posicionamiento y Relación........................................................................................................ 80 4.5.4 Normatividad Básica.................................................................................................................... 80 4.5.5 Métricas de desempeño .............................................................................................................. 81 4.6 CONTINUIDAD DE LA OPERACIÓN DE SEGURIDAD .................................................................................. 82 4.6.1 Objetivo.......................................................................................................................................... 82 4.6.2 Descripción.................................................................................................................................... 82 4.6.3 Posicionamiento y Relación........................................................................................................ 83 4.6.4 Normatividad Básica.................................................................................................................... 83 4.6.5 Métricas de desempeño .............................................................................................................. 84 CAPITULO 5. CONCLUSIONES ................................................................................................................ 85 5.1 TRABAJOS FUTUROS .............................................................................................................................. 92 REFERENCIAS BIBLIOGRÁFICAS.......................................................................................................... 94. viii.

(9) Lista de figuras Figura 1.1 Esquema de investigación ............................................................................................... 13 Figura 2.1 Arquitectura de los procesos ........................................................................................... 21 Figura 2.2 Evaluación de Seguridad de TI basada en procesos base del negocio y Procesos de TI ................................................................................................................................................... 22 Figura 2.3 Monitoreo de un SOC en una Red ................................................................................. 27 Figura 2.4 Arquitectura de un SOC................................................................................................... 30 Figura 2.5 Estructura de ITIL ............................................................................................................ 42 Figura 3.1 Arquitectura de Procesos de COBIT ............................................................................... 48 Figura 3.2 Arquitectura de Procesos de ISO 17799 ........................................................................ 50 Figura 3.3 Arquitectura de Procesos de ITIL .................................................................................... 52 Figura 3.4 Modelo propuesto de procesos operativos Críticos en un SOC...................................... 53 Figura 3.5 Mapeo de los procesos propuestos................................................................................. 56 Figura 3.6 Relación de los Procesos Operativos propuestos ........................................................... 61 Figura 4.1 Posicionamiento del Administrador de Incidentes........................................................... 68 Figura 4.2 Posicionamiento del Administrador de Problemas .......................................................... 71 Figura 4.3 Posicionamiento del Administrador de Cambios ............................................................. 74 Figura 4.4 Posicionamiento del Administrador de Configuraciones ................................................. 77 Figura 4.5 Posicionamiento del Administrador de Capacidades ...................................................... 80 Figura 4.6 Posicionamiento del Proceso de Continuidad de la operación de seguridad. ................ 83. ix.

(10) Lista de Tablas Tabla 3.1 Mapeo de los procesos propuestos .................................................................................. 56. x.

(11) Capitulo 1. Introducción. 1.1 Descripción General En la actualidad la información juega un papel muy importante en los negocios, proteger dicha información es una tarea necesaria de toda organización para mantener la integridad de sus datos. Actualmente el desarrollo de SOC`s (Security Operation Center) es vital para proteger los sistemas de información de las empresas (Cummings Joanne, 2005). La creciente integración de los negocios plantea la necesidad de procesos de negocio seguros, dichos procesos son vistos como problemas de seguridad que afectan el desempeño y la reputación de una compañía (Thomas Neubauer, Markus Klemen, Stefan Biffl, s.f.). Por otro lado para muchas compañías, la seguridad es algo en lo cual no se trabaja mientras no suceda algo malo (Atkinson William, 2005) esto es un problema claro sobre la falta de cultura en la sociedad, respecto a esto David W. Nicastro (2005) enfatiza la necesidad de tener sistemas y procesos de seguridad bien definidos desde antes de que algo malo suceda para lograr eficiencia en las operaciones del negocio.. 1.

(12) Jide Awe (s.f.), menciona que todos los beneficios que la tecnología de información ofrece a las empresas pueden desaparecer en un instante si no existe seguridad en los sistemas. Así como las computadoras revolucionaron la forma de hacer negocios, ahora la seguridad es muy importante para la existencia de los mismos. El nivel de dependencia en Tecnologías de Información se incrementa día a día. De igual forma que esta dependencia se incrementa los riesgos asociados también lo hacen. Así como se pueden realizar operaciones benéficas vía TI (Tecnologías de Información) también se pueden obtener efectos negativos como pueden ser acceder ilegalmente a los sistemas internos de una organización o bien recibir virus informáticos desde cualquier parte del planeta. El aspecto de la seguridad es un tema que concierne a todo tipo de organizaciones ya sean grandes empresas o incluso en las PyMES (pequeñas y medianas empresas). Las PyMEs en muchos casos se resisten a invertir en servicios e infraestructura de seguridad de información ya que piensan que son muy chicas como para ser atacadas por un Hacker y prefieren evitar gastos en este sector, sin embargo esta es una decisión errónea ya que pone en peligro la supervivencia del negocio y los vuelve mas vulnerables ante este tipo de ataques (Giannacopoulos Peter, 2002). Muchas empresas optan por Subcontratar los servicios de Administración de la seguridad con el fin de proteger su información a través de expertos en el área que se dediquen a monitorear la red de manera remota. Estos proveedores de servicios de seguridad se integran en un SOC para satisfacer las necesidades del cliente y proteger eficientemente la información de las empresas que contraten sus servicios. La función principal de los ingenieros que trabajan en un SOC es la de detener los ataques y detectar los diferentes tipos de anomalías existentes, a fin de proteger la integridad de las bases de datos (Brown Jennifer, 2004).. 2.

(13) Los analistas de un SOC se encargan de atrapar a los intrusos y de evitar toda actividad maliciosa que viole la seguridad de los sistemas. La creación de un SOC es una difícil tarea que lleva consigo muchos retos y grandes costos de inversión, es por eso que muchas empresas optan por subcontratar este servicio ya que con esto se evitan gastos de inversión tanto en equipo como en personal capacitado para operar dicho centro, Cummings Joanne (2005). Summers John (2005), señala que mantener un SOC requiere de una inversión importante principalmente en personal, ya que la actividad de monitoreo de una red es una tarea de 24/7, es decir que necesita ser operada 24 horas los 7 días de la semana, lo cual implica la necesidad de operadores profesionales que trabajen en el, así como varios turnos para poder satisfacer esa necesidad. Con la creciente dependencia de organizaciones privadas en redes de información, la seguridad se convierte en un factor crítico, especialmente con el surgimiento de negocios electrónicos como el comercio electrónico sobre intranets, extranets e internet. Los retos de seguridad de estas redes tienen diversos impactos no deseados en las organizaciones como son: Comprometer al negocio, pérdidas financieras, degradación de la competitividad y problemas legales. Por lo tanto las políticas de seguridad necesitan enfatizarse, con esto se pueden evitar consecuencias no deseadas en una organización (Haj, Saad 2003). J. Tront y R. Marchany (2002), explican que los negocios así como los consumidores son directamente afectados por las brechas de apertura en las medidas de seguridad. Uno de los principales costos en la operación de un ambiente de comunicaciones y computadoras, involucra la especificación, instalación y mantenimiento de medidas efectivas de seguridad que eviten intrusiones. Basado en estos argumentos se identifican claramente los factores involucrados en la implementación de medidas y políticas de seguridad, las cuales 3.

(14) son necesarias para lograr el buen funcionamiento de cualquier organización que le interese proteger su principal activo, la información. Los riesgos que existen actualmente son muy variados en forma y nivel de peligrosidad, la rápida creciente de avances tecnológicos permiten a su vez mayores ventajas al crimen informático. Ejemplo de estos actos son los Cyber Ataques, los cuales se definen como ataques a una computadora o sistemas de red que consisten en acciones realizadas por computadora a través de una conexión local o remota, acceso a archivos computacionales o ejecución de programas con la intención de comprometer la seguridad de los sistemas de información. Dado que actualmente se utiliza infraestructura informática para soportar operaciones diversas tales como: Defensa, Banca, Telecomunicaciones, transporte, energía eléctrica y muchos otros sistemas, los cyber ataques se han convertido en un problema muy significativo ya que pueden afectar operaciones importantes y traer consigo consecuencias severas (Nong Ye, J. Giordano y J. Feldman, 2001). Atkinson. William. (2005),. señala. que. los. ataques. en. sistemas. computacionales se han vuelto mucho más sofisticados y potencialmente devastadores en comparación al pasado; dada esta situación, las organizaciones necesitan estar a la vanguardia en sistemas de protección que eviten los estos ataques. Awe, Jide (s.f.), menciona: “La vida esta llena de riesgos, usando computadoras se incrementan los riesgos” El uso de TI incrementa la necesidad de seguridad. Debido a esto los procesos de seguridad se han convertido en parte de la estrategia que se debe utilizar para reducir los riesgos. Tomando los procesos adecuados se permitirá adoptar una aproximación proactiva en el aseguramiento de infraestructura y aplicaciones. Poniendo a la Seguridad en TI como una alta prioridad en las organizaciones, aunado a las estrategias de TI,. 4.

(15) políticas internas, actividades de negocios y procesos que permitan la operación optima de cualquier empresa. Un aspecto fundamental para cualquier operación se fundamenta en los costos que se generan tanto de las fallas como de las soluciones generadas. El mercado de servicios de administración de seguridad se ha triplicado en relación al del año 2000 en donde solo se gastaba alrededor de 720 millones de dólares, mientras que para el 2005 se estima una inversión de 2.2 Billones de dólares referentes a seguridad informática (Savage Marcia, 2002). Con esto se enfatiza la necesidad de seguridad que se tiene hoy en día en el mercado, tratando de cubrir la necesidad de estar mejor protegido. “El Centro de Operaciones de Seguridad (SOC) se ha convertido en algo que las empresas deben tener” Cummings Joanne (2005).. 5.

(16) 1.2 Descripción del Problema 1.2.1 Procesos operativos de Seguridad Actualmente el desarrollo de SOCs es un aspecto muy relevante para los proveedores de servicio a nivel mundial, además de la tecnología necesaria para su operación, el tema de Procesos Operativos de Seguridad de Información se vuelve un. tema critico para lograr su efectividad operativa (Morales Ricardo,. 2005). Thomas Neubauer, Markus Klemen, Stefan Biffl, (s.f.), basado en Campbell, Katherine; Lawrence A. Gordon, Martin P. Loeb y Lei Zhou, (2003), explica que las compañías de la actualidad modelan sus Procesos base de negocio, con la finalidad de mejorar la administración de dichos procesos. Mientras que el modelado de procesos de negocio trata de ser más eficiente creando valor en los negocios, existen diversas amenazas que los administradores de procesos deben considerar. Los peligros de seguridad como son virus, ataques de Hackers o robo de datos son considerados como amenazas importantes que afectan la ejecución confiable de los procesos y reflejan efectos negativos en una compañía. Los administradores de procesos deben definir procesos de seguridad que se encarguen de proteger eficazmente la información del negocio. Los problemas de seguridad que se presentan en las organizaciones son resueltos sin la aplicación de un plan efectivo que defina la forma en la cual se deben resolver. Es por esto que surge la necesidad de invertir en procesos de seguridad efectivos que regulen la manera en la cual debe operar la seguridad del negocio (Thomas Neubauer, Markus Klemen, Stefan Biffl, s.f.).. 6.

(17) 1.2.2 Necesidad de los Procesos Operativos Dentro. de. una. empresa,. la. administración. de. la. seguridad. es. frecuentemente una actividad mal definida, la cual en ocasiones se traduce en operaciones simples como una administración de Passwords o la instalación de antivirus. La mayoría de las empresas tienen una o más políticas de seguridad que definen las principales operaciones sin tener un estándar de procesos definido (Henning Ronda R., 2000). La creciente integración de los negocios plantea la necesidad de procesos de negocio seguros, y los ve como problemas de seguridad que afectan el desempeño y la reputación de una compañía, sin embargo muchas de las decisiones que se toman son basadas en un ambiente de negocios lo cual hace vulnerable el aspecto de la seguridad (Thomas Neubauer, Markus Klemen, Stefan Biffl, s.f.).. 1.2.3 Security Operation Center (SOC). Firewalls,. anti-virus,. sistemas. detectores. de. intrusos. (IDS),. son. herramientas de seguridad que trabajan por separado, lo cual no permite una visión integral del nivel de seguridad en una red (Cummings Joane, 2005) Anteriormente todo estaba integrado de manera separada, lo cual no permitía que hubiera una comunicación directa de los sistemas de seguridad, esto evitaba mantener a la empresa como un todo, y no se conocía realmente la condición del negocio (Cummings Joane, 2005). Teniendo estos postulados como punto de partida, surgió la necesidad de integrar todos estos sistemas en un Centro especializado que se encargara de. 7.

(18) operar todo lo relacionado con seguridad informática, fue así como surgió el desarrollo de SOCs (Savage Marcia, 2002). El SOC monitorea las redes continuamente con el fin de evitar problemas y asegurar el optimo desempeño de los sistemas, así mismo se encarga de administrar los dispositivos de seguridad para mantener y asegurar el funcionamiento adecuado de las redes de comunicación (Cummings Joane, 2005). Savage Marcia (2002) señala que un SOC puede incluir en su diseño la seguridad física, el respaldo y todos los requerimientos de fallas, con el fin de desarrollar procedimientos y políticas de seguridad que se encarguen de proteger los sistemas informáticos en su totalidad.. 1.2.4 Costos Operativos de Seguridad La relación costo–beneficio se vuelve extremadamente difícil de resolver cuando se trata de seguridad de información ya que surgen preguntas como: ¿Que precio debe una organización pagar en la seguridad de sus sistemas? o ¿cual costo es justificado en asegurar que esos sistemas estén en constante funcionamiento y disponibilidad? No se trata solo del riesgo que ocasiona una falla muy grave, ya que dada la complejidad que representa administrar múltiples sitios, tecnologías e implementaciones que comprenden la infraestructura de seguridad de un negocio hacen que el riesgo se vuelva mas significativo (Nigel Rix, 2004). Gartner Research muestra que cerca del 80% del costo total de TI ocurre después de la compra, en su mayoría en mantenimiento, reparación, soporte y actualizaciones de equipos. El costo total de propiedad (TCO, Total Cost of Ownership) es afectado dramáticamente por los gastos resultantes después de la. 8.

(19) compra inicial. Por su parte Tom Coupe (s.f.) de la universidad Libre de Brucelas señala que el medio universitario opera de manera similar al empresarial. Menciona que la similitud entre los costos en TI de los negocios y la educación se extiende a los requerimientos de administración. Considerando las mejores practicas se asegura una administración de costos exitosa en un ambiente de TI ya sea educativo o de negocios. Existe un paradigma de negocios popular en los sistemas en donde se trata a la infraestructura de información como una utilidad corporativa. En este modelo, el TCO es asociado con una estación de trabajo determinada, la cual considera múltiples aspectos como la infraestructura de la red, aplicaciones de usuarios, y personal requerido para operar el soporte del sistema. Henning Ronda R. (2000) señala que para minimizar los costos asociados con la tecnología de información, los corporativos empresariales han estado emigrando a un nuevo modelo de negocios. En estos modelos, la estandarización de las plataformas y las economías de escala son aplicadas. El rápido avance de la tecnología hace que el Leasing (renta con opción a compra) sea una solución más efectiva en costos. Mejor aún, cuando se tiene la alternativa de comprar componentes individuales e integrarlos por piezas en una infraestructura existente que se puede volver obsoleta en un periodo corto aproximado de 6 meses, el leasing es una opción mucho más atractiva. Los costos asociados con cada área de seguridad en un nivel de servicio dado deben ser identificados y agregados para desglosar los costos totales de los servicios de seguridad. Esta es una tarea directa para definir los costos asociados con la configuración, mantenimiento y reemplazos eventuales de algún mecanismo único. No es sencillo direccionar los costos de los servicios como detección de intrusos o las capacidades de análisis de intervención. Cuando los costos asociados con el compromiso de recuperación de información hacia un. 9.

(20) estado de seguridad son incorporados, el costo total asociado con los servicios de seguridad se vuelve más difícil de calcular. Lawrence A. Gordon y Martin P. Loeb (2006) muestran Evidencias empíricas de que el análisis costo – beneficio es un punto base para obtener información del presupuesto para los gastos en seguridad. Un estudio examino la forma en que las corporaciones toman decisiones basadas en los gastos de seguridad de información. Se encontró que el proceso de presupuestar los gastos en seguridad de información se basa en este análisis de costo – beneficio. Los costos asociados con las actividades de seguridad de información se relacionan. al hosting, incluyendo hardware, software y personal operativo. La. mayoría de esos costos son vistos como capital de inversión, sin embargo algunas organizaciones tienden a tratar esos gastos como costos operativos dentro de un periodo determinado. Mientras sean tratados como capital o como costos operativos, el presupuesto de los gastos de seguridad de información se convierte en un recurso crucial para la toma de decisiones. Desde una perspectiva económica, las compañías deben partir del punto de que cada dólar gastado en seguridad de información se convierte en otro dólar de ahorro. Esta es la manera en la que los gastos relativos a seguridad de información deben ser vistos en términos de costo- beneficio.. 10.

(21) 1.3 Objetivo. El objetivo principal de esta investigación es Proponer los principales procedimientos operativos de seguridad de Información y de administración de tecnologías de información (TI), necesarios para la Operación de un Security Operation Center (SOC) y establecer su normatividad básica.. 11.

(22) 1.4 Metodología de Investigación La metodología de investigación seleccionada para el desarrollo de esta tesis es de tipo documental, la cual es definida por Hernández, Fernández y Baptista (2003), como un método que se centra exclusivamente en la recopilación de datos existentes en forma documental, ya sea de libros, textos u otro tipo de documentos. La investigación documental se basa en el estudio fundado en hechos plasmados en documentos que ya fueron probados y justificados, los cuales nos van a ilustrar sobre el fenómeno a estudiar. De acuerdo con esta definición la información obtenida para el desarrollo de esta investigación fue obtenida de tres fuentes relacionadas con los estándares de seguridad utilizados como referencia para desarrollar el marco de referencia propuesto. Así mismo se obtuvo información importante de otras fuentes para fundamentar la importancia y relevancia de la temática tratada con lo que se genero un marco teórico que justificara la realización de este proyecto de tesis.. 1.4.1 Etapas de la investigación La investigación fue realizada por etapas, las cuales están relacionadas entre si mediante un orden cronológico con la finalidad de cumplir los objetivos planteados en esta tesis.. 12.

(23) Análisis de la importancia del tema de investigación. Recopilación y selección de la información. Investigación de las mejores practicas en estándares de seguridad de. Análisis e identificación de los principales procesos operativos. Estructuración de la propuesta. Aprobación del modelo por parte de los expertos. Desarrollo de la normatividad básica. Organización de la información. Publicación de la propuesta. Figura 1.1 Esquema de investigación. 13.

(24) 1.4.2 Descripción del esquema de investigación. 1.- Análisis de la importancia del tema de investigación. El primer paso para realizar la investigación es el análisis del tema a tratar, ya que la relevancia y aplicación que este tiene es fundamental para poder justificar su estudio. Los conceptos, definiciones y elementos básicos de la temática son estudiados en el contexto real, apegándose a estudios previos bien fundamentados que sustenten la importancia del tema en la actualidad. Las aplicaciones reales del tema de seguridad de información son muy extensas por lo que la importancia del tema es muy significativa y la aportación que se genere tendrá un alto valor. El tema de procesos operativos es igualmente un punto fuerte de esta tesis, por lo que analizar su importancia es fundamental para comprender su aplicación y la relación que tiene con el tema de seguridad de información.. 2.- Recopilación y selección de la información. El proceso de recolectar la información relativa a los temas de investigación es una etapa crucial para plasmar y reflejar los conceptos básicos que se estudiaran en este trabajo de investigación. La creación de un marco teórico que fundamente por medio de fuentes confiables la información general sobre los temas relacionados con el tema de investigación es de gran ayuda para introducir a los lectores sobre la propuesta de tesis.. 14.

(25) La selección de dicha información debe ser minuciosa y estricta ya que la magnitud que representa esta tesis de postgrado requiere un alto grado de calidad con contenidos veraces y reales.. 3.- Investigación de las mejores practicas en estándares de Seguridad de Información. Tomando como referencia la información anteriormente recopilada y analizada, pasamos a la siguiente etapa de la investigación en la cual se estudian y seleccionan las mejores prácticas relativas al tema de investigación, de las cuales se tomara información probada y justificada que sirva de referencia para crear la propuesta objetivo de la tesis. La selección de los marcos de referencia que integraran la base de la investigación, debe realizarse bajo estudios de mercado profundos, en donde se garantice que la selección realizada sea en base al uso y desempeño de dichos estándares a nivel mundial, por lo cual son clasificados como mejores practicas en el área de estudio.. 4.- Análisis e investigación de los principales procesos operativos de Seguridad de Información. El tema central de esta investigación gira entorno a los principales procesos operativos de seguridad de información necesarios para lograr la operación eficaz de un SOC. Dado esto, es clara la importancia que tiene el identificar, justificar y seleccionar dichos procesos con la finalidad de sustentar adecuadamente la propuesta.. 15.

(26) La selección de los procesos estará directamente relacionada con los estándares de seguridad identificados, sobre los cuales se compararan los procesos que cada uno maneja y posteriormente se integraran aquellos procesos que sean críticos para cada estándar. Por otro lado, el resultado obtenido de la integración de las mejores prácticas, será analizado por expertos en el área de seguridad de información que corroboren y aprueben la propuesta planteada.. 5.- Estructuración de la Propuesta Una ves que se tienen identificados los procesos operativos críticos de seguridad de información, se procede a la creación formal de la propuesta base de esta tesis de investigación, en la cual se integraran dichos procesos describiendo su función, relación y operación dentro de un esquema de seguridad bien definido. La propuesta será presentada en forma grafica mediante la ilustración de un modelo que describa el funcionamiento y la integración de los principales procesos.. 6.- Aprobación del modelo por parte de los expertos La etapa de aprobación es un factor clave que garantiza que la propuesta realizada es confiable y que su estructuración se apega con los requerimientos reales de un Centro de Operaciones de Seguridad. Los expertos se encargan de revisar el modelo y analizar la sustentación del mismo con la finalidad de poder comprobar mediante su experiencia la relevancia y credibilidad de la propuesta de tesis.. 16.

(27) Es importante mencionar que la sustentación de los modelos de referencia están avalados por organismos internacionales bien regulados que autentican y respaldan las fuentes de las cuales se creo el modelo propuesto.. 7.- Establecimiento de la normatividad básica Posterior a la aprobación del modelo propuesto se da paso al desarrollo de los objetivos, descripción, relación, métricas y normatividad básica de cada uno de los procesos presentados de manera individual. Con esto se dará una explicación detallada sobre el funcionamiento de cada proceso así como de la relación que guarda con el resto de los procesos que se incluyen en el modelo. El planteamiento de esta información es fundamental para fortalecer la propuesta ya que no solo se plantean los procesos y sus relaciones, sino que se profundiza mas en el tema desarrollando la operación básica de cada uno de ellos.. 8.- Organización de la Información Finalizando el proceso de creación de esta investigación se integrara toda la información de las etapas anteriores, construyendo así un documento formal que presente el trabajo realizado. Dicho documento deberá ser revisado nuevamente por los expertos en el área con la finalidad de fortalecer el valor y contenido plasmado en este proyecto de tesis de postgrado.. 9.- Publicación de la propuesta Esta es la ultima etapa de la investigación de tesis realizada en donde se publicara dicho trabajo a la comunidad académica. Dicha publicación será previamente aprobada por reconocidos investigadores en el área de estudio.. 17.

(28) 1.5 Organización de la tesis El presente trabajo de investigación esta conformado por cinco capítulos, cada uno de ellos contiene información relevante para estructurar esta investigación. Dicho contenido esta distribuido de la siguiente manera: El capítulo 1 presenta una introducción general que sirve como preámbulo al tema principal de investigación. Tiene como finalidad mostrar al lector la importancia del tema de investigación, su objetivo, la metodología utilizada y la estructura general de la tesis. El segundo capitulo presenta el marco teórico relativo a los temas relacionados con la investigación, presentando definiciones, conceptos y teorías que facilitaran el entendimiento del tema principal. La estructuración del modelo particular que servirá de propuesta particular sobre la temática planteada estará reflejada en el capitulo 3, mostrando la estructura general del modelo así como el ciclo de operación sobre el que trabaja. El capítulo 4 tiene por objetivo establecer la normatividad básica de los elementos presentados en la propuesta, con la finalidad de proporcionar una explicación detallada que fundamente el modelo desarrollado. Finalmente el capitulo 5 presenta las conclusiones obtenidas durante el desarrollo de la investigación, enfatizando los resultados obtenidos y los puntos de mayor relevancia y aportación. Por último, se presentaran las referencias bibliográficas sobre las cuales se obtuvo la información para desarrollar este trabajo.. 18.

(29) Capitulo 2. Marco Teórico. 2.1 Seguridad de Información Antes de 1990 la seguridad de la información estaba a cargo y era dominio del personal especializado en mainframes, el cual consistía básicamente en la publicación de políticas de seguridad centralizadas así como de la organización de cuentas de usuarios. Sin embargo con la aparición del Internet y de la computación distribuida/descentralizada la dependencia de la seguridad de las redes de comunicaciones se volvió un aspecto de suma importancia. Con el surgimiento de estas tendencias, el personal involucrado con este aspecto fue creciendo pasando por los expertos es redes de telecomunicación y especialistas de sistemas para controlar los virus y amenazas (Byrnes Christian, 2006). De acuerdo con Gartner, 2006, En 1995 muchas organizaciones se dieron cuenta que las políticas de seguridad que tenían establecidas se había vuelto obsoletas. Con lo que surgió la necesidad de actualizarlas, incrementando la complejidad de la infraestructura de sistemas. El aumento en la dependencia de los negocios en las aplicaciones computacionales y el continuo deterioramiento del medio ambientes del 2000 al 2005 ha forzado a las organizaciones a incrementar sus esfuerzos relativos a la. 19.

(30) seguridad de información, así como en otras funciones relacionadas con las TI que buscan mejorar el desempeño y la eficiencia de las organizaciones. En el pasado se entendía a la seguridad como un conjunto de políticas y tecnologías. Hoy, los CIOs (Chief Information Officers) entienden esta perspectiva desde tres puntos: Arquitecturas, Procesos y Controles. De acuerdo con Wagner Ray, 2006, Gartner investiga diversas tecnologías de seguridad, así como la administración y manejo de programas de seguridad de información. Generalmente clasifica los mercados de seguridad de información y de tecnología en tres áreas: . Protección de la Infraestructura.- se entiende como “mantener a los chicos malos fuera”, incluye firewalls, detección y prevención de intrusos,. antivirus,. monitoreo. de. contenidos,. servicios. de. seguridad, entre otros. . Activación de negocios seguros.- se resume en “mantener a los chicos buenos dentro” incluye administración de accesos e identidades, autenticación, controles de acceso, administración de derechos digitales, entre otros.. . Administración de la Seguridad.- se entiende como “mantener el rumbo” incluye planes de continuidad del negocio, operaciones de seguridad, conocimiento de la seguridad, organización de la seguridad de información, etc.. 20.

(31) 2.2 Procesos Operativos de Seguridad de Información Los Procesos Operativos según Caselles Joana, Josep M. (2003), Son aquellos que impactan directamente sobre la satisfacción del cliente y cualquier otro aspecto de la misión de la organización. Ejemplo de procesos operativos típicos son los de venta, producción y servicio post- venta. Los procesos como base de la gestión de las organizaciones necesitan de la revisión periódica de su eficacia y eficiencia con el fin de mejorar los aspectos más problemáticos y actuar en las áreas de oportunidad con acciones activas y reactivas. Incidir en el proceso de forma integrada requiere del análisis del proceso en su conjunto y de la actuación de cada una de sus componentes si ello lo requiere (Caselles Joana, Josep M., 2003).. Figura 2.1 Arquitectura de los procesos. Caselles Joana, Josep M. (2003). Los problemas de seguridad que se presentan frecuentemente son atacados por parte de los administradores mediante decisiones rápidas, sin una revisión adecuada de los datos que den soporte a estas decisiones. Teniendo esto. 21.

(32) en cuenta, la infraestructura de TI invierte recursos en investigación a los procesos de seguridad, los cuales se desarrollan de manera independiente en relación a los procesos base del negocio. Esto se muestra en la Figura 2.2, en donde la conexión entre procesos base genera los procesos de TI, los cuales a su ves generan e implementan aplicaciones de TI y servicios de TI los cuales sirven para dar soporte a los procesos base del negocio (Thomas Neubauer, Markus Klemen, Stefan Biffl, s.f.).. Costo de tiempo muerto (Valor perdido del negocio). Procesos Base del Negocio. Aplicaciones y Servicios de TI. Costos de Seguridad. Procesos de TI. Figura 2.2 Evaluación de Seguridad de TI basada en procesos base del negocio y Procesos de TI (Thomas Neubauer, Markus Klemen, Stefan Biffl, s.f.). De acuerdo con Thomas Neubauer, Markus Klemen y Stefan Biffl (s.f.), existen diversos modelos y marcos de referencia para la implementación y valuación de la seguridad. Algunos criterios importantes a considerar bajo el contexto basado en el valor de la seguridad son:. 22.

(33) 1) Considerar los procesos base del negocio. La confiabilidad de los procesos base del negocio es crucial para el éxito de una empresa. Estos procesos proveen valor adicional a la compañía y al cliente que paga por esos servicios y debe ser protegido con mecanismos de seguridad (Avizienis, Algirdas; et.al, 2004). Thomas Neubauer, Markus Klemen y Stefan Biffl (s.f.), sugieren que el marco de valuación de la seguridad de TI basada en las medidas de seguridad se basa en el valor externo de los procesos base del negocio, este enfoque permite integrar: •. Los procesos (base) del negocio del corporativo deben ser protegidos.. •. Marcos de seguridad que permitan la definición de niveles de seguridad y procesos de TI.. •. Métodos para la valuación de la seguridad.. 2) Integrar métodos de evaluación costo-beneficio. Este estudio utiliza los procesos del negocio y los procesos de TI para manejar el análisis costo-beneficio en el cual primero los procesos de negocio son utilizados para medir el potencial perdido del valor del negocio resultante de las fallas de seguridad. Con el uso de los procesos de TI se miden. los costos de mantenimiento e. implementación de los niveles de seguridad. 3) Administración de la seguridad, más allá del aspecto técnico. La generación de datos durante la ejecución de los procesos del negocio pueden ser usados para una valoración específica mas exacta de los riesgos en la compañía.. 23.

(34) El monitoreo en tiempo real de la operación y de los datos, permite una reacción inmediata ante algún cambio que genere riesgos. Además, las medidas de seguridad están colocadas en base a la necesidad de protección correspondiente del negocio. 4) Definición de niveles de seguridad. Existen tres grupos de modelos o marcos de referencia: I.. Marcos de seguridad que permiten optimizar el esfuerzo necesario para introducir seguridad.. II.. Modelos que proveen métodos eficientes para la implementación y definición de niveles de seguridad.. III.. Modelos de valuación, se basan en la valuación de las medidas de seguridad, sus costos y sus perdidas. Existen modelos de referencia de seguridad tales como COBIT, BS7799,. NIST, ITIL, que ofrecen guías y requerimientos para definir los niveles de seguridad. Estos modelos permiten un aseguramiento de las fallas en seguridad y la identificación de medidas apropiadas de seguridad. La infraestructura de TI invierte recursos en investigación a los procesos de seguridad, los cuales se desarrollan de manera independiente en relación a los procesos base del negocio (Thomas Neubauer, Markus Klemen, Stefan Biffl, s.f.). Muchos procesos son críticos en seguridad, en el sentido de que los requerimientos de seguridad son una parte central de los requerimientos de los procesos y los mecanismos de seguridad son requeridos para su realización, Caselles Joana, Josep M. (2003). Las organizaciones exitosas comprenden los beneficios que trae el uso de las tecnologías de información y utilizan dicho conocimiento para incrementar su 24.

(35) valor. Ellos reconocen la dependencia crítica que tiene muchos procesos del negocio relacionados con las TI, así como de manejar la necesidad de controlar los riesgos efectivamente. (IT Governance Institute, 2005). 2.2.1 Clasificación de Procesos La clasificación de los procesos dada por Caselles Joana, Josep M. (2003) nos describe el Mapa de Procesos, el cual es el nivel de agregación estructural más alto y contiene los denominados Procesos Principales o Procesos de Negocio, cuya definición es tarea del equipo de dirección de carácter no delegable. Una clasificación muy extendida de los Procesos de Negocio es la que se describe a continuación: Procesos Operativos. Son aquellos que impactan directamente sobre la satisfacción del cliente y cualquier otro aspecto de la misión de la organización. Son procesos operativos típicos los de venta, producción y servicio post- venta. Procesos de Soporte. Son procesos que no están ligados directamente a la misión de la organización, pero resultan necesarios para que los procesos operativos lleguen a buen fin. Como ejemplos están el proceso de formación del personal, o el de mantenimiento especializado de equipos de producción. Procesos Directivos o Estratégicos. Son los que proporcionan directrices a los demás procesos, es decir, indican cómo se deben realizar para que se orienten a la misión y la visión de la empresa.. 25.

(36) 2.3 Security Operation Center El Security Operation Center según Renaud Bidou (2002), es un término genérico el cual describe parte o toda una plataforma la cual tiene como propósito el proveer servicios de detección y reacción ante incidentes relacionados con la Seguridad. El SOC monitorea las redes continuamente con el fin de evitar problemas y asegurar el optimo desempeño de los sistemas, el SOC se encarga de administrar los dispositivos de seguridad para mantener y asegurar el funcionamiento adecuado de la red (Cummings Joane, 2005). Un SOC integra la seguridad y la información de los eventos en una red, dado esto el staff de operación tiene una visión general del evento que esta ocasionando problemas y del efecto que esto puede ocasionar, con esto los operadores pueden tomar decisiones fundamentadas sobre como reaccionar de manera efectiva de acuerdo a las políticas de seguridad que manejan (Cummings Joane, 2005). Savage Marcia (2002) señala que un SOC puede incluir en su diseño la seguridad física, el respaldo y todos los requerimientos de fallos, con el fin de desarrollar procedimientos y políticas de seguridad que se encarguen de proteger los sistemas informáticos. La operación de un SOC es un trabajo continuo 24/7 el cual trabaja sobre un esquema de red diverso determinado por el tipo de red que monitorea ya que las redes de comunicación pueden variar ampliamente en tamaño y diseño. Ver figura 2.3.. 26.

(37) Figura 2.3 Monitoreo de un SOC en una Red (NTT Communications 2006). El SOC según Renaud Bidou (2002), esta compuesto por 5 módulos distintos: ¾ Generador de Eventos Son los encargados de generar los eventos que se presentan en un SOC, existen dos familias dentro de este modulo que son: 1. Eventos basados en generadores de datos (por ejemplo: sensores), estos se encargan de generar un evento de acuerdo con una. 27.

(38) operación especifica desarrollada en el Sistema Operativo o en aplicaciones en una red. 2. Estatus basados en generadores de datos (por ejemplo: pollers), estos generan eventos en reacción a un estimulo externo como un ping, monitoreo de integridad de datos o un proceso de revisión de estatus. ¾ Colector de Eventos El propósito del colector de eventos es el de almacenar la información proveniente del Generador de Eventos y traducirla a un formato estándar con el fin de tener una base homogénea de mensajes. La disponibilidad y escalabilidad de este modulo es muy importante. Sin embargo muchos aspectos pueden ser manejados en forma similar como si se tratara de cualquier servicio de lado del servidor, utilizando clusters, alta disponibilidad y cargar un balance dedicado de hardware/aplicaciones, etc. El formato estándar de los datos almacenados, aparece muy teórico y continua siendo una materia de controversia en la comunidad de seguridad. ¾ Mensajes de Bases de Datos Este modulo es el mas estandarizado en la arquitectura de un SOC. Se compone de bases de datos. La única operación especifica desarrollada por este modulo, es un nivel básico de correlación con el fin de identificar y eliminar duplicados proveniente de las fuente ya sea la misma o diferente. Junto con las preocupaciones clásicas con respecto al secreto de disponibilidad de la base de datos, integridad y confidencialidad,. este. modulo enfrenta el problema de desempeño que tienen los sensores, ya que tienen que generar mensajes cada segundo. Estos mensajes deben ser almacenados, procesados y analizados tan rápido como sea posible, con el fin de reaccionar a tiempo ante una intrusión.. 28.

(39) ¾ Maquinas de análisis Este modulo es el responsable del análisis de los eventos almacenados en los “Mensajes de base de datos”. Deben de procesar diversas operaciones con el fin de proveer mensajes de alerta oportunos. Este tipo de operaciones es probablemente una de las que mas investigación tiene actualmente. W. Lee (s.f.) Basados en términos de correlación de algoritmos, detecciones positivas/negativas, representación matemática (Greg Vert, Deborah A. Frincke, Jesse C. McConnel, s.f.) u operaciones distribuidas (Deborah Frincke, Don Tobin, Jesse McConnel, Jamie Marconi, Dean Polla, s.f.), sin embargo, la diversidad de investigaciones y la reciente etapa de implementación, permiten el diseño del modulo que es el mas propietario y no estandarizado del SOC. ¾ Software de administración Este modulo se encarga de ensamble de las herramientas de reporte utilizadas para reaccionar a los eventos ofensivos que se llevan a cabo en el sistema supervisado. La importancia de este modulo no debe subestimarse, una intento de intrusión se puede analizar perfectamente por el conjunto de operaciones que se realizan. El SOC debe monitorear las redes de comunicación de manera constante, solo así se podrá mantener un servicio de seguridad adecuado que proteja continuamente los sistemas y la información de los clientes (Cummings Joane, 2005). Savage Marcia (2002) señala que un SOC puede incluir en su diseño la seguridad física, el respaldo y todos los requerimientos de fallos, con el fin de desarrollar procedimientos y políticas de seguridad que se encarguen de proteger los sistemas informáticos.. 29.

(40) 2.3.1 Arquitectura global de un Security Operation Center (SOC) La arquitectura global de un SOC según Renaud Bidou (2002) (Ver figura 2.4), implementa los 5 módulos descritos. Sin embargo aunado al aspecto técnico involucrado como implementación, es necesario considerar la supervisión de la infraestructura de TI como un proyecto operacional completo.. Figura 2.4 Arquitectura de un SOC Renaud Bidou (2002). 30.

(41) 2.4 Administración de TI La administración de las tecnologías de Información (TI) se basa en varias suposiciones a cerca de cómo llevar a cabo el desarrollo de sistemas de información, su mantenimiento, los servicios de información que brinda, y como planear y controlar todas estas actividades (Fischer, Achterberg y Vinig, s.f.). La administración de TI es un tema prácticamente nuevo, sin embargo, desde hace 30 años, muchas empresas y universidades tienen departamentos de tecnología de información. El personal de TI usualmente tiene un perfil matemático o de ingeniero. Anteriormente la administración de TI no se utilizaba con frecuencia debido a la poca tecnología que se manejaba, por lo tanto eran pocas las personas que se encargaban de manejar esos sistemas. Sin embargo cuando la tecnología comenzó a madurar, la necesidad de administrarla adecuadamente se incremento significativamente. A pesar de que la administración no es una prioridad en los matemáticos e ingenieros, la necesidad de manejar adecuadamente los sistemas y la tecnología los llevo a adoptar este conocimiento (J. Lackey y s. Brown, s.f.). Según ISACA, 2006, Un elemento crítico para el éxito y la supervivencia de las organizaciones, es la administración efectiva de la información y de la Tecnología de Información (TI) relacionada. En esta sociedad global donde la información viaja a través del "ciberespacio" sin las restricciones de tiempo, distancia y velocidad esta criticalidad emerge de: • la creciente dependencia en información y en los sistemas que proporcionan dicha información • la creciente vulnerabilidad y un amplio espectro de amenazas, tales como las "cyber amenazas" y la guerra de información (information warfare).. 31.

(42) • la escala y el costo de las inversiones actuales y futuras en información y en tecnología de información; • el potencial que tienen las tecnologías para cambiar radicalmente las organizaciones y las prácticas de negocio, crear nuevas oportunidades y reducir costos. Muchas organizaciones reconocen los beneficios potenciales que la tecnología puede proporcionar. Las organizaciones exitosas, sin embargo, también comprenden y administran los riesgos asociados con la implementación de nueva tecnología. Por lo tanto, la administración debe tener una apreciación, y un entendimiento básico de los riesgos y limitantes del empleo de la tecnología de información para proporcionar una dirección efectiva y unos controles adecuados. Una organización necesita identificar y administrar cualquier tipo de actividad para funcionar eficientemente. Cualquier actividad que emplea recursos y es administrada para transformar entradas en salidas, puede ser considerada como un “proceso”. A menudo, estas salidas son aprovechadas nuevamente como entradas, generando una realimentación de los mismos (ISO/IEC, 2005).. 32.

(43) 2.5 Mejores Prácticas Marcos de referencia confiables son esenciales para asegurar que los recursos de TI estén alineados con los objetivos del negocio, así mismo estos servicios de información proporcionan calidad y responden a las necesidades de seguridad. Algunos estándares no son excluyentes uno de otro por lo que pueden ser combinados para proporcionar una estructura de seguridad mas poderosa, así como. mayor control y mejor servicio de administración de la tecnología. (IT. Governance Institute, 2005). Las mejores prácticas o Best practices se han convertido en un factor muy importante por diversos factores como son: •. Los administradores de negocios obtienen mayores ingresos y beneficios por medio de la inversión en TI realizada. Las TI ofrecen cubrir las necesidades del negocio con la finalidad de incrementar el valor de los inversionistas.. •. Proporcionan un nivel superior en los niveles de entrega a través de la tecnología.. •. La necesidad de conocer los requerimientos regulatorios para los controles de TI en áreas como recursos financieros y en sectores específicos como el farmacéutico, salud o financiero.. •. La selección de proveedores de servicio y la administración de los servicios como el de outsourcing o adquisiciones.. •. Incremento en la complejidad relativa a los riesgos de las TI, como las redes de seguridad.. •. Iniciativas en regulaciones de TI que incluyen la adopción de marcos de referencia de control y mejores practicas para apoyar y mejorar las actividades críticas de TI.. 33.

(44) •. El crecimiento en la madurez y la aceptación de marcos de referencia bien regulados como son: ITIL (IT Infraestructue Library), COBIT (Control Obejectives for Information and Related Technology), ISO (International Standards Organization), CMM (Capability Maturity Model), PMBOK (Project Management Boby of Knowledge), etc.. •. La necesidad de las organizaciones por asegurar y mejorar su desempeño con respecto a los estándares más aceptados y a sus competidores.. •. Recomendaciones hechas por analistas profesionales de adoptar las mejores prácticas.. Así mismo, La creciente adopción del uso de estándares y best practices ha creado nuevos retos y demandas referentes a la implementación como son: •. Crear valor para los propósitos del negocio e incrementar los beneficios de las organizaciones.. •. Como integrar el soporte a la toma de decisiones basado en las best practices con las políticas y procedimientos internos del negocio.. •. Como adaptar requerimientos específicos de la organización.. Debido a la naturaleza técnica de los estándares y best practices de tecnología son conocidos principalmente por expertos en el área como profesionales en TI, Administradores y consultores los cuales adoptan y utilizan con facilidad los procedimientos, sin embargo en algunas ocasiones no consideran el enfoque del negocio. Para darle el valor real al uso de best practices, los clientes de los servicios de TI deben ser involucrados, así como el uso efectivo de TI debe ser colaborativo entre el cliente y los proveedores de servicio internos y externos.. 34.

(45) 2.5.1 Beneficios de las Mejores Prácticas La adopción efectiva de las mejores prácticas brinda diversos beneficios especialmente en el área de tecnología (IT Governance institute, 2005). Esto incluye: •. Evitan re-inventar la rueda.. •. Reducen la dependencia de expertos en tecnología.. •. Incrementan el potencial de utilizar staff menos experimentado si es bien entrenado.. •. Facilitan el uso de la tecnología.. •. Reducen los riesgos y errores.. •. Incrementan la calidad.. •. Mejoran la habilidad de administrar y monitorear. •. Incrementan la confianza y la confidencialidad.. •. Crean respeto por parte de los reguladores y otros observadores externos.. •. Brindan seguridad y proveen valor.. 35.

(46) 2.6 Estándares de Seguridad En la actualidad existen diversos estándares de seguridad bien definidos, los cuales proporcionan diversas opciones o pautas a seguir sobre como mantener la seguridad de los sistemas en un SOC. En la industria de computo, los estándares juegan un rol importante a través de reforzar la seguridad y permitiendo compatibilidad entre los productos. En tiempos actuales de la computación, el carecer de acuerdos es común en las organizaciones, lo que trae consigo problemas de configuraciones. (Rebecca T. Mercury 2003) En el mejor de los casos, los estándares proveen un panorama neutral en el cual ofrecen metodologías establecidas que atraen el interés tanto de las organizaciones como de los consumidores, proveyendo seguridad y confiabilidad para ambos jugadores. Sin embargo, en el lado opuesto, los estándares pueden ser empleados inapropiadamente en favor de algunos cuantos, logrando una competencia desleal y fomentando la mediocridad sobre la innovación. Estos aspectos pueden traer consigo efectos negativos en la seguridad. (Rebecca T. Mercury, 2003) De acuerdo con el IT Governance Institute, 2005, El uso de estándares de seguridad así como de las mejores practicas en el tema, tales como ITIL, COBIT e ISO/IEC, han sido dirigidos a los requerimientos de los negocios con el fin de mejorar su desempeño, transparencia y principalmente incrementar el control sobre las actividades de TI. Las organizaciones tienen a las redes de comunicación como objetivo principal para realizar sus funciones. Diversos modelos y teorías existentes ayudan a mantener y administrar esas redes de comunicación y los procesos de. 36.

(47) operación. Existen diversos modelos en la literatura (Estándares de seguridad) que ayudan a plantear un esquema eficiente de administración de redes y tecnología (Hemmen, 2000). De acuerdo con Thomas Neubauer, Markus Klemen y Stefan Biffl (s.f.), existen diversos modelos y marcos de referencia para la implementación y valuación de la seguridad. Existen modelos de referencia de seguridad tales como COBIT, BS7799, ITIL, que ofrecen guías y requerimientos para definir los niveles de seguridad. Estos modelos permiten un aseguramiento de las fallas en seguridad y la identificación se medidas apropiadas. Uno de los principales objetivos de el uso de estándares de seguridad, es el de facilitar la eficiencia y efectividad en la provisión de servicios de TI de calidad y en mejorar la administración de la infraestructura de TI en cualquier organización que adopte estos estándares (Hemmen, 2000).. 2.6.1 COBIT COBIT (Control Objectives for Information and Related Technology) es un marco de referencia de políticas y herramientas de soporte que permiten a los administradores reducir la brecha entre los requerimientos de control, los aspectos técnicos y los riesgos del negocio. COBIT ofrece políticas claras de desarrollo y buenas prácticas para el control de TI a través de las organizaciones. La misión y Objetivos de COBIT es Investigar, Desarrollar, Publicitar y promocionar Objetivos de Control de TI internacionales, actualizados a la realidad actual para ser usado por los Gerentes de Negocios y Auditores (ISACA, 2006) COBIT ha sido desarrollado como un estándar generalmente aplicable y aceptado para mejorar las prácticas de control y seguridad de las Tecnologías de. 37.